Die Nationale Cybersicherheitsbehörde in Litauen warnt davor, achtlos chinesische Smartphones zu kaufen. Konkret geht es um zwei Modelle, in denen sich eklatante Sicherheitslücken fanden – von Sucheinschränkungen bis Datenklau.
Chinesische Smartphones bergen Sicherheitsrisiko
Vorsicht beim Kauf von Smartphones aus China! Dazu rät jetzt eine Regierungsbehörde aus Litauen. In einer offiziellen Beurteilung hat das Nationale Cybersicherheitszentrum eklatante Sicherheitslücken in Smartphone-Modellen aus China entdeckt.
Konkret hat die Behörde folgende drei chinesische Smartphones analysiert: Huaweis P40 5G, Xiaomi Mi 10T 5G und das One Plus 8T 5G.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Senior Online Marketing Manager (w/m/d) – Schwerpunkt Social Media Oldenburgische Landesbank AG in Oldenburg, Frankfurt am Main |
||
(Senior) Paid Social Media Manager (m/w/d) Content Fleet GmbH in bundesweit |
Aufgrund verschiedener Sicherheitsbedenken aus der Vergangenheit um die Hersteller und aufgrund der großen Marktpräsenz der Unternehmen habe man sich bewusst diese 5G-Modelle genauer angeschaut, heißt es in dem Bericht der Behörde.
Insgesamt habe man zehn Sicherheitsrisiken entdeckt, die sich allerdings auf die Geräte von Huawei und Xiaomi zu beschränken scheinen.
Vier davon beziehen sich auf Risiken, die von vorinstallierten Apps auf den Geräten ausgehen. Darüber hinaus gebe es Sicherheitsbedenken um den eigenen Datenschutz und zur Einschränkung der Meinungsfreiheit.
Huawei P40 5G: Geklonte Apps mit Malware
Beim Huawei-Gerät gab es Auffälligkeiten bei der Installation von Apps. Wenn du auf dem Gerät eine neue App installieren möchtest, sucht das Gerät danach klassisch in der App-Gallerie. Findet das Gerät die App, wird diese installiert. Wenn die App jedoch nicht gefunden werden kann, passiert etwas Seltsames.
Dann leitet Huawei die User automatisch auf App-Plattformen verschiedener Drittanbieter, von wo aus die App dann heruntergeladen und installiert wird. Das Problem dabei: Diese Plattformen befinden sich alle in Ländern, die nicht von der DSGVO gedeckt sind.
„Das schafft ein entsprechendes Risiko, dass die Metadaten der User geleakt werden“, heißt es im Bericht.
Doch das ist noch nicht alles! Die „alternativen Apps“ sind so etwas wie Klone der Original-Apps, die dann aber Malware wie Trojaner und Viren enthalten, die sich dann unbemerkt in den Geräten einnisten.
Was diese Malware genau tut, lässt der Bericht allerdings offen. Es muss also nicht bedeuten, dass Huawei selbst für diese Malware verantwortlich ist. Möglich ist ebenfalls, dass es hier lediglich an Malware-Schutz mangelt.
Xiaomi Mi 10T 5G: Zensierte Suche und geheimer Datenabgriff
Deutlich riskanter ist aber offenbar das chinesische Smartphone Mi 10T 5G von Xiaomi.
Heimlich Daten abgreifen
Hier fanden die Expert:innen Sicherheitslücken im hauseigenen Browser von Xiaomi: dem Mi Browser. Hier gibt es zwei Module zur Datensammlung, Google Analytics und Sensor Data.
Über Google Analytics kann Xiaomi deinen Suchverlauf nicht nur lesen. Der Hersteller lässt sich diese Daten auch auf die eigenen Server weiterschicken. Als User bekommt man das gar nicht mit. Denn diese Funktion aktiviert sich, sobald das Gerät sich beim Xiaomi User Experience Marketingprogramm anmeldet. Das passiert automatisch, sobald das Gerät erstmals aktiviert wird.
Die Sicherheitsbehörde in Litauen fand weiter heraus, dass das Modul „Sensor Data“ insgesamt 61 verschiedene statistische Parameter innerhalb der App-Nutzung analysiert. Jedes Mal, wenn du also eine App auf dem Gerät nutzt, landen Informationen über die genutzte Sprache, Zeitpunkt der Nutzung und vieles mehr über einen verschlüsselten Kanal auf Xiaomi-Servern in Singapur.
Es gebe klare Hinweise darauf, dass Xiaomi unerlaubt und exzessiv Nutzerdaten abgreife, was die Privatsphäre der User gefährdet, sagt der Sicherheitsbericht.
Vorsicht vor der Cloud
Da hört es aber nicht auf. Wer zudem die Cloud-Dienste von Xiaomi nutzt, muss mit weiteren Eingriffen in die Privatsphäre rechnen. Sobald sich jemand für die Cloud anmeldet, speichert Xiaomi deine Nummer über eine SMS-Synchronisierung auf Servern in Singapur.
Das passiert übrigens unabhängig davon, ob du die Zwei-Faktor-Authentifizierung per SMS oder E-Mail wählst. Die SMS-Synchronisierung deiner Telefonnummer passiert zudem ohne dein Wissen. User sehen die SMS nie.
Als Folge hat Xiaomi aber praktisch freien Zugang zu allem, was die Cloud mit dem Gerät synchronisiert. Dazu gehören Anrufe, Kontakte, SMS-Nachrichten, Suchverlauf und vieles mehr.
Zensierte Suche
Darüber hinaus nutzt Xiaomi seine System-Apps wie Security, Cleaner, Mi Browser und viele mehr, um Usern Informationen zu bestimmten Themen zu verweigern.
Das tut der Hersteller über eine eingebaute gesperrte Liste an Suchwörtern, die „MiAdBlacklistConfig“. Diese Liste enthält „verbotene“ Suchbegriffe. Wer also nach Begriffen sucht, die auf dieser schwarzen Liste sind, bekommt keine Ergebnisse angezeigt.
Man kann hier nur vermuten, dass es hierbei um Themen geht, die auch in China aus Suchmaschinen zensiert werden. Das stuft die Behörde aus Litauen als Einschränkung der Meinungsfreiheit ein.
Empfehlung: Chinesische Smartphones mit Vorsicht genießen
Insgesamt warnt die Behörde aus Litauen davor, achtlos chinesische Smartphones zu nutzen. Konkret empfiehlt die Sicherheitsbehörde, dass User sich intensiv mit der Hard- und Software der Geräte und den verschiedenen Funktionen befassen.
Angesichts der Übersicht des Berichts, lässt sich dies noch weiter relativieren. Denn der Bericht erwähnt zum Beispiel keine Auffälligkeiten beim 8T 5G von One Plus, das ebenfalls untersucht wurde. Mit dem Gerät scheinen User, zumindest auf Basis dieses Berichts, auf der sicheren Seite zu sein.
Auch die Malware-Risiken bei Huawei sind möglicherweise ebenfalls eher auf fehlende Malware-Filter zurückzuführen als auf bewusste Absicht des Herstellers. Die App-Stores, auf die Huawei neben Google Play zugreift, werden nicht so oft und gründlich geprüft wie der Google-Store, sodass sich hier grundsätzlich mehr Malware herumtreibt.
Etwas anders sieht es aber beim Xiaomi-Gerät aus. Hier scheint der Hersteller sehr bewusst, heimlich private Daten abzugreifen und zu speichern und zudem die Internetsuche zu zensieren. Dieses Gerät solltest du also sicherheitshalber nicht verwenden.
BSI leitet Untersuchung ein
Update zum 28. September 2021
Mittlerweile hat sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu dem Bericht aus Litauen geäußert. Demnach will das Amt nun eine eigene Untersuchung starten. Besonders ins Augenmerk sollen dabei die Smartphones von Xiaomi mit der angeblichen Zensurfunktion gefasst werden.
Xiaomi wiederum hat derweil die Vorwürfe gegen Sicherheitslücken auf den eigenen Geräten zurückgewiesen.
Auch interessant:
Mit sehr großer Besorgnis habe ich diesen Artikel gelesen. Dabei tun sich doch sehr viele Fragen auf:
1. Warum stufen diverse Testplatformen (z.B. CHIP.DE, ….) die handys dieser Hersteller als teilweise sogar sehr gut ein? Werden die nur nach technischen Gesichtspunkten getestet? Von einem Testportal verlange ich eigentlich, daß es die Verbraucher darauf hinweist, daß evtl. Schadsoftware auf dem handy vorinstalliert ist, was meiner Meinung nach nur zu einem schlechten Gesamturteil führen kann.
2. Die EU hat die EDSGVO durchgesetzt, die in Deutschland als DSGVO bekannt ist. Warum werden dann Produkte, die in die EU geliefert werden, nicht zuvor getestet und bei Einhaltung dieser Verordnung nicht auch dementsprechend zertifiziert? Was bitte soll eine solche, in meinen Augen auch sehr sinnvolle, Verordnung, wenn sie nicht auch konsequent überwacht wird?